Azure OpenAI環境を低コスト・セキュアに構築する

最近、企業やその他の組織では、組織専用のChatGPT環境として、Azure OpenAIの導入が進んでいます。特に大企業や既にAzureを使用している組織は、プライベートネットワーク接続などAzureの利点を享受しています。

しかし、Azure OpenAIを低コストで簡単に試したいと思っている方もいるでしょう。もちろん、セキュリティを最低限維持しつつです。この記事は、そんな方々に向けてのものです。

なお、手順の多くは他の記事に譲らせていただきます。ご容赦ください。

▍サービス構成

Azure OpenAIと無料のApp Serviceのみの構成です。これだと、Azure OpenAIの利用料金以外の追加費用はかかりません。ただし、無料のApp Serviceのプランで利用できるリソースはだいぶ限られているので、あくまでも試験環境や小規模環境向けだとお考えください。

Azure OpenAIとApp Serviceの料金やプランについては、以下のリンクをご参照ください。

Azure OpenAI Service - 価格 | Microsoft Azure

App Service の料金 | Microsoft Azure

▍基本環境の構築

Azure OpenAIを利用するための流れは以下のとおりです。

1. フォームからの利用申請

2. Azure内でのAzure OpenAIリソースの作成

3. Azure OpenAI Studioでのモデルデプロイ

これらの流れについては、以下の記事に譲らせていただきます。ちなみに、申請から承認までの時間は、2023年8月時点では4時間程度でした。

【セットアップ編】Azure OpenAIを使ってみた！ - 神戸のデータ活用塾！KDL Data Blog

Azure OpenAI Studioを操作できる方がテストするだけであれば、プレイグラウンド環境だけで済ますこともできます。しかし、複数の利用者がアクセスできるようにするには、追加で環境構築が必要です。

Web上のチャット環境を構築するための一つの方法として、App Serviceを利用する方法があります。Azure OpenAI Studioから簡単に設定でき、特に手間はかかりません。
手順については、以下の記事の「手法③：企業専用サイトを作成する（今回の手法）」をご参照ください。

企業専用 ChatGPT を Azure OpenAI & Web App で爆速構築する

▍セキュリティ設定

セキュリティ設定として、アクセス制限をかけていきます。
現在のアクセス制限は次のようになっています。特に、Azure OpenAIにアクセス制限がかかっていないことが問題です。

App ServiceとAzure OpenAIのそれぞれに対して、アクセス制限を加えます。

■ App Serviceのアクセス制限

まずは、App Serviceのアクセス制限についてです。
既定ではAzure ADユーザーの認証が設定されています（無効化もできます）。より厳格に制限するために、IPアドレスによる制限も加えられます。
手順については、以下の記事を参照ください。

App Serviceに対して設定できるアクセス制限方法と設定手順 - Qiita

さらに、後の設定のために、ネットワークで送信アドレスをコピーしておきます。

■ Azure OpenAIのアクセス制限

続いては、Azure OpenAIのアクセス制限です。
Azure OpenAIのファイアウォール機能で、アクセスを許可するIPアドレスを指定します。今回はApp Service経由なので、App Serviceの送信IPアドレス（先ほどコピーしたアドレス）を指定します。 

具体的な手順は、以下の記事の「インターネット向けアクセス制限」をご参照ください。他にも、仮想ネットワークや有料のプライベートエンドポイントの構成についても解説されています。

Azure OpenAI Serviceにアクセスできるネットワークを制限する - APC 技術ブログ

▍おわりに

最低限のセキュリティを確保しつつ、コストを抑えたAzure OpenAIの環境構築について見てきました。試験環境や小規模環境を構築したい方のご参考になればうれしく思います。

---

私たちのデジタル技術活用の記事が次のマガジンにあります。よろしければ覗いてみてください！

うちのデジタル便り｜まなび梯｜note